| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Zoom - minden a szolgálatással kapcsolatos problémákról, veszélyekről

Részletek

A kiberbiztonság vitafórumai most főleg a Zoom-mal foglalkoznak ‒ itt elolvashatod mindazt, amit a témáról tudni érdemes

Miközben az utóbbi hetek egyik legkeresettebb, videócsevegést és konfenciahívást is lehetővé tévő szolgáltatássá vált a Zoom, komoly problémák merültek fel a használatával kapcsolatban. Idegenek fotói szivárogtak ki, elszaporodtak a trollok és a rendszer titkosítási rendszeréről is kiderült néhány furcsaság.

Az elmúlt hetekben ‒ a COVID-19 világjárvány következtében ‒ a Zoom videokonferencia szoftver használata hihetetlen mértékben megnőtt annak kapcsán, hogy az otthoni munka és a távtanulás vált az új normává, és nagyon sok ember ezt az eszközt vélte alkalmasnak céljai elérésére.
A Zoom ezt a termékét azonban nem tervezte a vállalati csevegésen túli felhasználásra, de ennek ellenére az alkalmazást már számtalan célra és nagyon sokan használják. Állami kormányzati kabinetmegbeszélésektől kezdve iskolai órák megtartásán keresztül az eredeti célra, vállalati kommunikációban is mindenütt alkalmazzák.

Az alkalmazás használata a decemberi átlagosan 10 millió napi felhasználói belépésről az elmúlt hónapban (2020. március) 200 millióra növekedett ‒ miközben az alkalmazás letöltési oldalának napi forgalma 535 százalékos növekedés mutatott ‒, ugyanakkor a Zoom azt is tapasztalta, hogy az alkalmazással kapcsolatos problémák is megszaporodtak, ezek elsősorban a (saját) hibás tervezési gyakorlatukból és az általános biztonsági szempontok figyelmen kívül hagyásából származnak. Akár azt is mondhatnánk, hogy a Zoom hirtelen majdnem elsüllyedt a magánéletet sértő és más biztonsági problémái tengerében.

A magyar szaksajtóban érdekes címekkel jelentek meg cikkek:

„Bármit is állít a Zoom, nem teljes a titkosítás” ‒ PCWorld; „A Zoom felemelkedése és bukása” ‒ Portfolio; „Az otthonról dolgozókra is rászálltak a kiberbűnözők” ‒ Index ‒ stb. Mindegyik tartalmaz igazságokat, azonban azt nem válaszolja meg egyik cikk sem, hogy hogyan, és miért keletkeztek a Zoom problémái.

Akár az is felvetődhet, hogy a Zoom egy rosszindulatú program

A Guardian beszámolója szerint egyes szakértők úgy vélik, hogy igen! ‒ De nem, mégsem, a Zoom nem rosszindulatú program. Leginkább úgy határozhatjuk meg, hogy ez egy olyan programtermék, amely tele van biztonsági hibákkal, és még csak most, a tömeges felhasználás kapcsán ismerkednek vele a felhasználók és a szakértők is, mivel ezt az alkalmazást eddig még soha nem vizsgálták meg igazán alaposan.

Milyen dolgok derültek ki a Zoom-ról, és milyen intézkedéseket hajtott végre a fejlesztő/üzemeltető az elmúlt, nagyon intenzív felhasználási szakaszban:

  • A Zoom adatvédelmi politikájával kapcsolatban kritizálták, hogy a rendszer lehetővé tette adatok széles körű gyűjtését ‒ például videók, átiratok és megosztott jegyzetek ‒ a felhasználókról, és a cég a saját személyes profitszerzése céljából megoszthatta azokat harmadik felekkel.
    • Ennek megoldásaként a Zoom március 29-én szigorította az adatvédelmi irányelveit, kijelentve, hogy nem használja fel a meetingek adatait reklámhoz. Ugyanakkor továbbra is felhasználja a felhasználói adatait abban az esetben, amikor azok ellátogatnak a cég marketing webhelyeire, ideértve a zoom.us és a zoom.com honlapjait is.
  • A Zoom iOS-alkalmazása, hasonlóan a Facebook SDK-t használó alkalmazásokhoz, analitikai adatok küldött a közösségi hálózatra akkor is, ha a felhasználónak egyébként nincs összekapcsolt Facebook-fiókja.
    • A kritikára válaszul a Zoom eltávolította ezt a funkciót
  • A Zoom kritika alá került a Résztvevők követése funkció miatt is. Ezt a funkciót engedélyezve a program lehetővé tette a gazdagép számára annak ellenőrzését, hogy a résztvevők egy hívás közben nem kattintannak-e a Zoom főablakára.
    • A Zoom ezt a funkciót április 2-án eltávolította.
  • A fentihez hasonlóan a Zoom értekezlet hostja a hívás során elküldött privát szöveges üzeneteket is elolvashatja, ha azokat (a host szerinti) helyben rögzítik.
  • Felix Seele biztonsági kutató állapította meg, hogy a Zoom egy rejtőzködő technikával telepíti a Mac alkalmazását, felhasználói beavatkozás nélkül ‒ pontosan azokkal a trükkökkel, amelyeket a macOS rendszereket támadó rosszindulatú szoftverek használnak ‒ és lehetővé teszi az (Zoom) alkalmazás telepítését a felhasználók jóváhagyó hozzájárulása nélkül.
    • Április 2-án a Zoom ennek a hibának a kiküszöbölésére is javítást adott ki.
  • Patrick Wardle további két hibát is közzétett: ezek lehetővé teszik a támadók számára, hogy root-jogosultságokat szerezzenek, és a macOS-ben ennek segítségével hozzáférjenek a mikrofonhoz és a kamerához, amivel a Zoom meetingeket rögzíteni tudják.
  • A kutatók hibát fedeztek fel a Zoom Windows alkalmazásában is, az UNC (Universal Naming Convention) útvonal beadási sérülékenységét, amely lehetővé tette a távoli támadók számára, hogy ellopják az áldozatok Windows bejelentkezési adatait, és ennek segítségével akár saját parancsokat hajtsanak végre a megtámadott rendszeren.
    • Ezt a hibát, valamint a Patrick Wardle által bejelentett két további hibát is április 2-án javították.
  • A Zoomban egy (nem nyilvános) adatbányász funkciót találtak a rendszert vizsgálók. Ezzel a funkcióval a Zoom automatikusan összeveti a felhasználók nevét és e-mail címét a LinkedIn profiljukkal, amikor bejelentkeztek - még akkor is, ha a meetingben névtelenül, vagy álnévvel hívták őket. Ha a meetingen egy másik felhasználó feliratkozott a LinkedIn Sales Navigator nevű szolgáltatásra, akkor a Zoom meeting részt vevők partnereinek LinkedIn profiljaihoz is hozzáférhettek a felhasználók tudta és hozzájárulása nélkül.
    • A funkció feltárása után a Zoom letiltotta a funkciót.
  • Vice kijelentette, hogy a Zoom több ezer felhasználói e-mail címet és fényképet szivárogtatja, és nem akadályozza meg, hogy illetéktelenek megpróbáljanak kapcsolatfelvételeket kezdeményezni ezen kiszivárogtatott információk segítségével. Ennek oka az, hogy az e-mail címükben ugyanazt a domain nevet használó felhasználókat (nem szabványos e-mail szolgáltatók, amelyek nem a Gmail, az Outlook, a Hotmail vagy a Yahoo!) úgy csoportosítják, mintha ugyanazon vállalatnál dolgoznának.
    • A hiba felderítése után a Zoom feketelistára tette ezeket a domaineket.
  • 2020. április 3-án a Washington Post azt tette közzé, hogy nagyon egyszerű, sőt magától értetődő a Zoom-ban készített videofelvételek megtalálása azon közös fájl elnevezési minta alapján, amelyet a Zoom automatikusan alkalmaz. Ilyen videókat a nyilvánosan elérhető Amazon tárhelyeken találtak.
  • A kutatók kimondottan vizsgálati céllal létrehoztak egy olyan új eszközt ("zWarDial " néven), amely nyílt (nem védett) Zoom meeting azonosítókat keres, és óránként mintegy 100 olyan meetinget talált, amelyeket semmilyen jelszó sem védett.
  • A Zoom azon állításai, amelyek szerint a végpontok közötti titkosítást használnak a biztonságos kommunikációhoz, félrevezetőnek bizonyultak. A társaság kijelentette, hogy egy olyan meetingen, ahol minden résztvevő Zoom klienst használ, és amelyet a meeting közben nem rögzítenek, mindenféle tartalom - videó, hang, képernyő megosztás és chat - titkosítva van az ügyfél oldalán, és az átviteli csatornában sehol nem dekódolják, csak a meetingek résztvevőinek végpontjain. De ha az egyik hozzáadott szolgáltatás, például egy „felhő” alkalmazása, vagy a telefonálás engedélyezve van, a Zoom máris hozzáfér a dekódolási kulcsokhoz, amelyeket jelenleg a felhőben tart. Ez pedig megkönnyíti a hackerek vagy egy kormányzati hírszerző ügynökség számára a kulcsokhoz való hozzáférést - mondta Matthew Green biztonsági szakértő.
  • A Citizen Lab további kutatásai kimutatták, hogy nem egyértelműek a használt titkosítás típusát illetően is, mivel a kriptográfiai műveletekhez generált kulcsokat "Kínában szerverek útján adják át a Zoom értekezlet résztvevőinek, még akkor is, ha a találkozó összes résztvevője és a Zoom előfizető társasága, Kínán kívül vannak. " Az egyes Zoom értekezletek audio- és videofájlját titkosítva és dekódolva egy, az EKB módban használt AES-128-at használják, amelyet az összes résztvevő megoszt. Az ECB mód használata nem ajánlott, mivel a sima szövegben található minták a titkosítás során megmaradnak.
    • Eric S. Yuan, a Zoom vezérigazgatója válaszolt a Citizen Lab észrevételeire, kijelentve, hogy a rendszerük iránt hirtelen megnőtt érdeklődés miatt kénytelenek voltak gyorsan bővíteni a kapacitást, és a kapkodásban ‒ hibázva ‒ hozzáadták két kínai adatközpontjukat is a tartalék hidak hosszú listájához," potenciálisan lehetővé téve a nem kínai ügyfelek számára, hogy - rendkívül korlátozott körülmények között - csatlakozzanak hozzájuk."
  • Végül essen szó a Zoombombing-ról ‒ ez annyit jelent, hogy trollok használják ki a nyílt vagy nem védett meetingeket, a gyenge alapértelmezett konfigurációjú rendszereket, úgy, hogy átveszik a host képernyőmegosztását, és pornó vagy más explicit anyagot sugároznak.
  • Amerikában az FBI felhívást adott ki, felszólítva a felhasználókat, hogy módosítsák a beállításokat a videohívások eltérítésének elkerülése érdekében.
    • Április 4-től kezdve pedig a Zoom bekapcsolta a Waiting Room funkciót (amely lehetővé teszi a házigazda számára, hogy ellenőrizze, amikor egy résztvevő csatlakozni kíván a meetinghez), és megköveteli a felhasználóktól, hogy adják meg a meeting jelszavát a visszaélések megakadályozása érdekében.

Jó, jó, de kérdés az, hogy vajon nyugodtan használhatjuk-e a Zoom-ot, igen vagy sem?

A Zoom a saját hírnevének és hitelességének megőrzése érdekében a legtöbb esetben gyorsan és átláthatóan reagált ezekre a nyilvánosságra kerül problémákra és hibákra, és a lehető leghamarabb javította a biztonsági szakértők által kifogásolt dolgokat.

Ezenkívül a társaság az új funkciók kiadása terén 90 napos moratóriumot jelentett be abból a célból, hogy "proaktívan azonosítsák, kezeljék és javítsák a problémákat ". A Zoom célja továbbá a rendszerükön végzett átfogó felülvizsgálat lefolytatása külső szakértők bevonásával, és egy átláthatósági jelentés kiadását is tervezik, amely részletezi a biztonsággal, nyilvántartásokkal és szakmai tartalommal kapcsolatos kéréseket.

A történtek után mindenki számára felmerülő kérdés: lehet-e folytatni a Zoom használatát?

Könnyű lenne ezeket a hibákat áttekintve azt mondani, hogy az embereknek egyszerűen távol kell maradniuk a Zoomtól. De azért ez nem olyan egyszerű.
Érdekes módon most találkozhatunk legelső alkalommal olyan esettel, amikor a kiberbiztonsági közösség szakértői különböző állásfoglalással jelentkeztek.

  • Egyesek szerint helytelen a Zoomot ebben a kritikus időszakban teljesen elásni, annak ellenére, hogy ez a szoftver képes azonnal, és egyszerűen segíti az embereknek a távmunkában,
  • míg mások szerint az a célszerű, ha a Zoom jelenlegi felhasználói más alternatívákat keresnek a munkájukhoz.
  • Néhányan viszont semleges álláspontot képviseltek, és arra a következtetésre jutottak, hogy a Zoom kiválasztása teljes mértékben az egyén kockázati modelljétől függ.

Az a tény, hogy a Zoom saját titkosítást tervezett és dolgozott ki, nagy negatívumot jelent, mivel a Zoom-éhoz hasonló körülmények között egyedileg fejlesztett rendszereket nem ellenőrzik és értékelik a szakértők ugyanolyan alapossággal, mint a manapság használt titkosítási szabványok szerint kidolgozott rendszereket – tehát ebben az esetben az egyedi (szabványon kívüli) titkosítás alkalmazása hátrányos!

„Egy Zoom környezettel kapcsolatos funkciók közül a leglényegesebbek azok, amelyek célja a meetingek kapcsán kialakuló személyes súrlódások csökkentése, ezek viszont kialakításuk révén a személyes adatok védelmét és biztonságát is csökkentik" - írta a Citizen Lab jelentése.

A Zoom-ot rendszeresen használók számára a legfontosabb, hogy minden egyes hívásukkor gondolják végig a biztonsági és adatvédelmi igényeiket. A Zoom biztonsága valószínűleg elegendő, ha csak eseti, alkalmi beszélgetésekre vagy nyilvános társadalmi rendezvények lebonyolítására és előadások szervezésére szolgál.
Minden más felhasználás során, amikor érzékeny információk megosztása is szükségessé válhat, a Zoomnál biztonságosabb lehetőségek vannak, például a saját üzemeltetésű Jitsi, a Signal és a Wire.

A Citizen Lab, amely súlyos biztonsági problémát állapított meg a Zoom Waiting Room funkciójával kapcsolatban, és arra ösztönözi a felhasználókat, hogy a jelszó szolgáltatást "magasabb szintű titoktartási szintre használják, mint a Waiting Room".

Tehát, ha aggódik amiatt, hogy Zoombomb-olják, állítson be a meetingjére jelszóhasználatot, és zárja le a meetinghez történő kapcsolódás lehetőségét, ha már mindenki csatlakozott, akinek csatlakoznia kellett.